Librarium
Settings

Attention aux packages sur NPM, PyPi, NuGet, Pub.dev… (attaques supply chain) 😱 DevCafé 15/10

Dev Café
actusalternative appwritealternative firebasealternative supabaseattaque supply chainautomatticclicommand jackingcommand linedart plugindart pubdevdevdrama wpenginedépendancedépendance npmdéveloppemententrypoint packageinfosjavascript npmnuget dotnetopenai gptstorepath linuxpath shellpath terminalpython pypiruby gemsruby on railsrust cratessetup pythontrojanwordpress dramawordpress opensourcewordpress wpengine

Des chercheurs ont découvert qu’avec le système de point d’entrée des packages, il était très simple de réaliser des attaques de type supply chain (= injecter du code malveillant par des dépendances). Pour cela, les packages peuvent être transformés en ligne de commande et ils peuvent remplacer les commandes officielles (ex : LS) si l’ordre de son PATH n’est pas correct. Sont ici concernés (au moins) : Python (PyPI), JavaScript (NPM), Dart (Pub.dev), DotNet (NuGet), Rust (Crates).

On reviendra aussi sur le fameux drama autour de WordPress, où hier encore, il y avait des nouveautés, comme des mots doux avec le créateur de Ruby on Rails ou encore les conférences WordPress qui ne doivent plus accueillir des personnes en relation avec WP Engine.

Mis à part ça, je vous parlerai aussi du GPT Store d’OpenAI ou encore de la base de données Instant (alternative à Firebase, AppWrite, Supabase…)

👉 Sommaire de l’émission du 15/10 : 00:00 Introduction 01:17 Le GPT Store d’OpenAI ne serait pas si intéressant que ça 03:00 Des attaques de type supply chain sur les écosystèmes Python(PyPi), JavaScript (NPM), Dart… 06:43 Un point sur le drama WordPress 10:47 Instant : un concurrent à Firebase (base de données uniquement) 12:120⚡️ Les actus en bref 14:43 Conclusion

👉 Liens des actualités :

Le GPT Store pas si intéressant que ça https://www.theinformation.com/articles/openais-chatbot-app-store-is-off-to-a-slow-start https://www.wired.com/story/openai-gpt-store/

Des attaques de type supply chain sur PyPi, NPM, Pub.dev… https://checkmarx.com/blog/this-new-supply-chain-attack-technique-can-trojanize-all-your-cli-commands/

Nouveaux épisodes dans la saga WordPress https://www.lemonde.fr/pixels/article/2024/10/14/guerre-de-controle-autour-de-wordpress-l-un-des-principaux-outils-de-creation-de-sites-web_6351593_4408996.html https://techcrunch.com/2024/10/04/159-employees-are-leaving-automattic-as-ceos-fight-with-wp-engine-escalates/ https://www.404media.co/wordpress-checkbox-login-wp-engine/ https://www.theverge.com/2024/10/4/24262232/matt-mullenweg-wordpress-org-wp-engine https://www.theregister.com/2024/10/15/wordpress_bans_wpengine_from_events/ https://www.theverge.com/2024/10/12/24268637/wordpress-org-matt-mullenweg-acf-fork-secure-custom-fields-wp-engine

Instant : un concurrent à l'ère pré-Google de Firebase https://www.instantdb.com

⚡️ La NASA va définir un Coordinated Lunar Time https://www.nasa.gov/solar-system/moon/nasa-to-develop-lunar-time-standard-for-exploration-initiatives

⚡️ L'Internet Archive est de retour https://www.theverge.com/2024/10/14/24269741/internet-archive-online-read-only-data-breach-outage

⚡️ Le support de Windows 10 se terminera dans 1 an https://www.ghacks.net/2024/10/14/windows-10-support-ends-in-exactly-1-year-here-are-your-options

⚡️ Windows 11 24H2 occupe presque 9Go… que l'on ne peut pas supprimer https://www.theregister.com/2024/10/11/windows_update_cleanup/?td=rt-3a

⚡️ L'IA est plus bête qu'un chat selon Yann LeCun https://tech.slashdot.org/story/24/10/13/2220258/ai-threats-complete-bs-says-meta-senior-research-who-thinks-ai-is-dumber-than-a-%20cat

⚡️ Des contraintes dans le groupe Ebra sur l'utilisation de l'IA https://next.ink/154021/la-charte-debra-sur-lutilisation-de-lia-ne-convainc-pas-ses-propres-journalistes/

⚡️ Difficile de faire payer Gemini, ChatGPT… https://www.linforme.com/tech-telecom/article/intelligence-artificielle-la-sacd-peine-a-faire-payer-chatgpt-et-google-gemini_2137.html

⚡️ Trop de datacenter pour l'IA en Chine ? https://www.scmp.com/tech/article/3281894/tech-war-china-sees-glut-ai-data-centres-gpu-mismatches-exacerbate-weak-demand

⚡️ Une manette de PS5 utilisée pour une opération chirurgicale à distance https://www.techtimes.com/articles/307817/20241010/zurich-surgeons-used-ps5s-dualsense-controller-perform-surgery-remotely-praising-its-precision.htm

Mots clés : #python #javascript #npm #rust #dotnet #dart #pubdev #supplychain #wordpress #wpengine

En Bref :

Ensuite, le groupe Ebra et qui détient de nombreux journaux plutôt sur la partie Est de la France voit une inquiétude monter chez ses salariés, puisque la réécriture des dépêches de l'AFP vont maintenant passer à la moulinette ChatGPT.

Toujours en France, il est forcément question de taxes et l'organisme chargé de la récolte des droits pour tout ce qui est audiovisuel espérait bien faire payer les IA comme ChatGPT ou Gemini.

Et très lié à cela, il y a la question des data centers. On sait que Microsoft commence à atteindre ses limites aux Etats-Unis. Mais en l'inverse, la Chine met les bouchées doubles… mais sans forcément de clients derrière, ce qui à l'inverse pousse certains data center à être à l'arrêt.

Et enfin, on peut dire que la technologie est belle, puisqu'une manette de PS5 a servi à une opération chirurgicale distante de 9300 kilomètres…… pour le moment, ce n'est que sur un cochon, mais on peut imaginer d'autres usages à l'avenir. ... https://www.youtube.com/watch?v=h1ckYcCvkjs

2024-10-15
0.0 LBC
Copyrighted (contact publisher)

222531849 Bytes